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(57) Zusammenfassung: Die Erfindung betrifft ein Automatisierungssystem, bei welchem die Reaktion auf Fehler (F) verbessert 
ist. Dies gelingt zum einen mit einem Verfahren zur Fehlerbehandlung bei einem Echtzeit-Automatisierungssystem bei dem durch 
zumindest einen Verarbeitungsfehler (F) und/oder Zugriffsfehler (F) zumindest eine Fehlerreaktionsfunktionsfunktion (FT1, FT2, 
FT3) ausgelost wird, wobei die Fehlerreaktionsfunktion (FT1, FT2, FT3) parametrierbar und/oder programmierbar ist. Zum anderen 
gelingt eine Verbesserung durch ein Verfahren zur Fehlerbehandlung bei einem Automatisierungssystem, welches zumindest zwei 
Ablaufebenen (A) aufweist, bei dem durch zumindest einen Verarbeitungsfehler (F) und/oder Zugriffsfehler (F) in einer Ablaufebene 
(A) zumindest eine Fehlerreaktionsfunktion (FT1, FT2, FT3) in zumindest einer der weiteren Ablaufebenen (A) ausgelost wird. 



WO 03/056428 ^ 

9 

i 

Beschreibung 

Fehlertolerantes Automatisierungssystem bzw. Verfahren zur 
Fehlerbehandlung bei einem Echtzeit-Automatisierungssystem 

5 

Die Erfindung liegt auf dem Gebiet von Automatisierungssteue- 
rungen bzw, Automatisierungssystemen. Automatisierungssyste- 
me, bzw, -steuerungen werden insbesondere bei Produktionsma- 
schinen, Werkzeugmaschinen, Handhabungs automat en, industriel- 
10 len Prozessen und/oder in industriellen Fertigungen einge- 
setzt . 

Automatisierungssysteme unterliegen verschiedensten Anforde- 
rungen, wie z.B. denen nach flexibler und/oder sicherer 
15 und/oder konsistenter Reaktion auf Ereignisse wie z.B.: 

• Verarbeitungsf ehler in einem Anwenderprogramm wie z.B. 
einer Division durch Null und/oder dem Verletzen von Ar- 
raygrenzen 

20 • Zugriffsf ehler bei I/O Variablen - Input/Output Variab- 

len 

• Zugrif fsfehler beim Lesen und/oder Schreiben von System- 
variablen 

25 Diese Anf orderungen gelten insbesondere fur ein frei pro- 

grammierbares Automatisierungssystem bzw. -steuerung. Weist 
die Automatisierungssteuerung bzw. das Automatisierungssys- 
tem, wobei diese beiden Begriffe als Synonym ftireinander ste- 
hen k5nnen, das Automatisierungssystem allerdings auch eine 

30 Automatisierungssteuerung mit aufweisen kann, Multitasking- 

Eigenschaften auf so verscharfen sich die Anf orderungen. Dies 
gilt beispielsweise ftir ein frei programmierbares Automati- 
sierungssystem fttr eine Produktionsmaschine, wie z.B. eine 
Druckmaschine, eine Kunststof f spritzgiefimaschine mit Multi- 

35 tasking-Eigenschaften, die aufgrund integrierter Technologie- 
und Regelungsfunktionalitat harten Echtzeiteigenschaf ten zu 
genUgen hat. Echtzeiteigenschaf ten sind beispielsweise auch 
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bei einer Werkzeugmaschine, wie z.B. einer Drehmaschine, ei- 
ner Schleifmaschine, einer Frasmaschine, etc, oder auch bei 
einem oder mehreren in einem Verbund arbeitenden Handhabungs- 
automaten erforderlich. 

5 

Die Automatisierungssteuerung bzw. das Automatisierungssystem 
weist Software auf, wobei in dieser Software Tasks, d.h. Auf- 
gaben bzw. Programme, bzw. Jobs gestartet und abgearbeitet 
werden, bzw. abarbeitbar sind. In einer Automatisierungssteu- 

10 erung bzw. in einem Automatisierungssystem sind die obig be- 
schriebenen Anf orderungen insbesondere dann, wenn annahernd 
Echtzeitanforderungen zu erftillen sind, bisher tiber synchrone 
Exceptions gelost. Bei der synchronen Exception wird zumin- 
dest ein Anwenderprogramm, als Fehlerreaktion, unmittelbar 

15 mit der gleichen Prioritat gestartet wie der bearbeitete 
Task, in dem ein Fehler aufgetreten ist. 

Nachteilig bei dieser Losung ist, dass die Losung mit syn- 
chronen Exceptions in einem Automatisierungssystem bzw. in 

20 einer Automatisierungssteuerung mit hochprioren zyklischen 
Tasks nur bedingt einsetzbar ist, da die Gesamtlauf zeit der 
hochprioren zyklischen Taskebenen begrenzt ist. Beim Ober- 
schreiten dieser Begrenzung geht die Echtzeiteigenschaf t ver- 
loren. Bei der Verwendung von synchronen Exceptions ist ein 

25 Echtzeit-Automatisierungssystem nicht realisierbar, da die 

Echtzeit nicht in jedem Fall garantiert ist. Allgemein tritt 
diese Problematik auch bei anderen Echtzeitsystemen auf , bei 
welchen hochpriore Tasks in einer maximalen Gesamtlauf zeit, 
welche fur die Abarbeitung notwendig ist, abzuarbeiten sind. 



Der Erfindung liegt die Aufgabe zugrunde, die Reaktion auf 
Fehler, welche in der Software (z.B. Division durch Null oder 
Verletzung von Arraygrenzen) und/oder Hardware (z.B. Zu- 
griffsfehler bei I/O-Variablen) einer Automatisierungssteue- 
35 rung bzw. einem Automatisierungssystem auftreten zu verbes- 
sern. Automat isierungssyst erne, bzw. -steuerungen werden ins- 
besondere bei Produktionsmaschinen, Werkzeugmaschinen, Hand- 
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habungsautomaten, industriellen Prozessen und/oder in indus- 
triellen Fertigungen eingesetzt. 

Diese Aufgabe wird erf indungsgemafi durch ein Verfahren zur 
5 Fehlerbehandlung bei einem Automatisierungssystem, welches 
z.B. eine Automatisierungssteuerung ist, gelost, bei dem bei 
zumindest einem Verarbeitungsf ehler und/oder zumindest einem 
Zugrif f sf ehler zumindest eine Fehlerreaktionsfunktionsf unk- 
tion ausgelost wird, wobei die Fehlerreaktionsf unktion zumin- 
10 dest parametrierbar und/oder programmierbar ist. 

Die Parametrier- und/oder Programmierbarkeit einer Fehlerre- 
aktionsfunktion ermoglicht es die Fehlerreaktionsfunktion 
derart auszubilden, dass die Echtzeiteigenschaf ten eines Au- 
15 tomatisierungssystems auch im Fehlerfall erhalten bleibt. Von 
Automatisierungssystemen, insbesondere Echtzeit- Automatisie- 
rungssystemen, sind verschiedenste Forderungen zu erf alien. 
Dies sind beispielsweise flexible, sichere und/oder konsi- 
stente Reaktionen auf : 

20 

• Verarbeitungsf ehler im Anwenderprogramm, z.B. Division 
durch Null, Verletzen von Array-Grenzen, 

• Zugriffsfehler bei I/O-Variable - Input/Output Variable, 

• Zugriffsfehler beim Lesen und Schreiben von Systemvari- 
25 ablen. 

Diese Forderungen sind beispielsweise insbesondere bei einem 
frei programmierbaren Automatisierungssystem ftir eine Produk- 
tionsmaschine mit Multitasking-Eigenschaf ten zu erfullen, da 

30 diese z.B. aufgrund integrierter Technologie- und Regelungs- 
funktionalitat harten Echtzeiteigenschaf ten zu genUgen hat. 
Eine harte Echtzeiteigenschaf t bedeutet, dass auch in einem 
Fehlerfall die Echtzeiteigenschaf t bestehen bleibt. Bei Auto- 
matisierungssystemen ohne harte Echtzeit, d.h. z.B. im Feh- 

35 lerfall ist die Echtzeiteigenschaf t nicht mehr vorhanden, 

wurde die Behandlung eines auf getretenen Fehlers bisher tiber 
synchrone Exceptions, welches Anwenderprogramme sind die un- 
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mittelbar mit der gleichen Prioritat gestartet werden wie die 
bearbeitete Task/Auf gabe in der ein Fehler auftritt, gelost. 

Weist das Automatisierungssystem, d.h. die Automatisierungs- 
5 steuerung verschiedene Ablaufebenen auf, so haben diese bei- 
spielsweise unterschiedliche Prioritaten. Programme, bzw. 
Funktionen, bzw. Tasks, bzw. Jobs (die engl. Begriffe sind 
teilweise auch synonym zu den deutschen verwendbar) sind in 
verschiedenen Ablaufebenen abarbeitbar. Tritt in einem Pro- 

10 gramm, bzw. einem Job, bzw. einer Funktion oder ahnlichem in 
einer Ablaufebene ein Fehler auf, so ist eine Fehlerreak- 
tionsfunktions ausftihrbar, welche jedoch Programme bzw. Funk- 
tionen in den Ablaufebenen in ihrer zeitlichen Abarbeitung 
derartig beeinflussen kann, dass eine erf orderliche Bearbei- 

15 tungszeit eines anderen Programmes bzw. einer Funktion nicht 
mehr gewahrt sein kann. 

Eine Verbesserte Fehlerreaktion ist erf indungsgemafl auch da- 
durch erzielbar, dass zur Fehlerbehandlung bei einem Automa- 
20 tisierungssystem, welches zumindest zwei Ablaufebenen auf- 
weist, bei dem durch zumindest einen Verarbeitungsf ehler 
und/oder Zugriffsf ehler in einer Ablaufebene zumindest eine 
Fehlerreaktionsfunktion in zumindest einer der weiteren Ab- 
laufebenen ausgelost wird. 



Dadurch, dass ftlr eine Fehlerreaktionsfunktion eine weitere 
Ablaufebene, welche eine unterschiedliche Prioritat zur ur- 
sprtinglichen Ablaufebene hat, genutzt wird, ist es moglich 
die zeitliche Abfolge von Programmen bzw. Funktionen zu be- 
30 einflussen. Vorteilhaf terweise ist die Wahl der Ablaufebene 
fur die Fehlerreaktionsfunktion programmierbar bzw. paramet- 
rierbar . 

In einer vorteilhaf ten Ausgestaltung des Verfahrens zur 
35 Fehlerbehandlung wird die Fehlerreaktionsfunktion jeweils in 
der weiteren Ablaufebene behandelt, welche niederpriorer zu 
der jeweiligen Ablaufebene ist, in welcher der Verarbeitungs- 
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fehler und/oder der Zugrif f sf ehler aufgetreten ist. Dies hat 
den Vorteil, dass durch den Fehler der zeitliche Ablauf des- 
sen, in welchem der Fehler aufgetreten ist im wesentlichen 
unbeeinf lusst bleibt. Unter Umstanden kann jedoch beispiels- 
5 weise ein einfacher zeitunkritischer Befehl wie die Obernahme 
eines zuletzt zulassigen Wertes, bei Auftreten eines unzulas- 
sigen Wertes durchgeftihrt werden. 

Durch den Verarbeitungsf ehler und/oder den Zugrif fsf ehler ist 
10 auch eine Fehlerreaktionsf unktion in derselben Ablaufebene 
wie der Verarbeitungsf ehler und/oder Zugrif fsf ehler auslos- 
bar, bzw. wird dort ausgelost, wobei eine weitere Fehlerreak- 
tionsfunktion in zumindest einer niederprioreren Ablaufebene 
ausgelost wird. 



So ist zunachst eine sichere Weiterbearbeitung des Programmes 
bzw. der Funktion in welcher der Fehler aufgetreten ist ge- 
wahrleistet ohne, dass beispielsweise beztiglich der Einhal- 
tung von Echtzeiterf ordernissen Probleme entstehen. Eine 
20 nicht mehr so zeitkritische Fehlerbehandlung erfolgt dann 
durch die in einer niederprioreren Ablaufebene gestarteten 
Fehlerreaktionsf unktion. 

Besonders vorteilhaft ist die Durchfuhrung eines Verfahrens 
25 zur Fehlerbehandlung bei einem Automatisierungssystem, d.h. 
bei einer Automatisierungssteuerung, welche als Echtzeit- 
Automatisierungssystem eingesetzt wird. 

Das erf indungsgemafie Verfahren zur Fehlerbehandlung wird al- 
30 so vorteihaft bei Echtzeit-Anf orderungen angewandt und er- 
ftillt diese auch. Dies gilt insbesondere ftir ein Automa- 
tisierungssystem mit hochprioren zyklischen Tasks, wobei die 
RegelungsgUte gewahrleistet bleibt. Hohe Anf orderungen an Re- 
gelgtlte und Dynamik eines Automatisierungssystems bleiben ge- 
35 wahrt. 
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In einer vorteilhaf ten Ausgestaltung wird die Fehlerreakti- 
onsfunktion vor dem Ausldsen dieser, parametriert und/oder 
programmiert • 

5 Eine Anforderung nach einer flexiblen, sicheren und/oder kon- 
sistenten Reaktion auf Fehler ist durch einen durchgangigen 
konsistenten Gesamtansatz zur Fehlerbehandlung mittels der 
Definition / Realisierung von: 

10 • Zugrif f sfunktionen und/oder 



• eines definierten konf igurierbaren Ablaufverhaltens bei 
Zugrif fsfehler bei Nichtanwendung der Zugrif fsfunktion 
und/oder 

• eines definierten Verhaltens bei Auftreten von Verarbei- 



erf indungsgemafi ermoglicht . 

Bei der Definition bzw. Realisierung von Zugrif f sfunktionen 

20 sind Zugrif fsfehler tiber parametrierbare Zugrif f sfunktionen 
abfangbar, wobei in vorteilhaf ter Weise die Moglichkeit be- 
steht, bei einem Fehler ein vordef iniertes Verhalten zu er- 
zeugen. Beispiele hierfur sind die Obernahme eines projek- 
tierten Ersatzwert, die Ubernahme des letzten Wertes und/oder 

25 auch das Einsetzen eines Grenzwertes* Das Verhalten der 

Zugrif fsfunktion iiber Parameter ist vor deren Aufruf bzw. 
auch unmittelbar beim Aufruf einstellbar. Die Festlegung ei- 
nes vordef inierten Verhaltens bei einem Fehler einer 
Zugrif fsfunktion ist eine Fehlerreaktionsfunktion. Die Aus- 

30 fUhrung der Zugrif fsfunktion bedingt bei einem Zugriffsfeh- 
ler nicht zwangslaufig den Start eines Fehlerbearbeitungs- 
Task, d.h. einer Fehlerreaktionsfunktion welche synonym ist, 
jedoch ist eine Fehlerreaktionsfunktion ausftihrbar. Die 
Zugriffsfunktion ist vorteilhaft in verschiedenen, vorzugs- 

35 weise jedem, Tasktyp verwendbar. 
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Beim Auftreten eines Fehlers beispielsweise bei einem Zugrif f 
auf einen internen bzw. externen Wert und einer Nichtanwen- 
dung der Zugrif fsfunktion ist vorteilhaft ein definiertes 
konfigurierbares Ablaufverhalten bei zumindest einem Zu- 
grif fsfehler realisierbar . Wenn ein Zugrif fsfehler auftritt, 
ohne dass eine Zugrif fsfunktion verwendet wird, wird vom Au- 
tomatisierungssystem bzw. der Automatisierungssteuerung ein 
konfiguriertes Verhalten wie z.B. die Obernahme des Ersatz- 
wertes, die Ubernahme des letzten Wertes, oder der Start ei- 
ner Fehlerbearbeitungs-Task, in der die Reaktion flexibel 
ausprogrammiert werden kann, ausgefuhrt. 

Tritt in einem Anwenderprogramm ein Verarbeitungsf ehler auf 
so ist ein definiertes einstellbares Verhalten beztiglich des 
Verarbeitungsf ehlers erf indungsgemaB ermoglicht. HierfUr er- 
geben sich beispielsweise die folgenden Moglichkeiten: 

• Start der Fehlerbearbeitungs-Task, d.h. der Fehlerreak- 
tionsfunktion, bei einem Verarbeitungsf ehler im Anwen- 
derprogramm; 

• oder direktes Oberftihren des Automatisierungssystems in 
den Stop-Zustand. 

Die Fehlerbearbeitungs-Task, d.h. die Fehlerreaktionsfunktion 
weist dabei beispielsweise eine der folgenden Eigenschaf ten 
auf : 

• in der Fehlerbearbeitungs-Task/Fehlerreaktionsfunktion 
kann ein Anwenderprogramm zur Reaktion auf den Verarbei- 
tungsfehler oder Zugrif fsfehler eingehangt werden; 

• der Fehlerbearbeitungs-Task/Fehlerreaktionsfunktion wird 
in einer Task-Startinf ormation mitgegeben, in welcher 
Task der Fehler aufgetreten ist und von welcher Art der 
Zugrif fsfehler oder der Bearbeitungsf ehler ist; 

• die Fehlerbearbeitungs-Task/Fehlerreaktionsfunktion 
weist im Ablaufsystem eine definierte Prioritat auf, wo- 
bei diese im Automatisierungssystem hochpriore zyklische 
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Tasks, z.B. von Motion Control (Bewegungssteuerung) , 
nicht behindert; die Priori tat der Fehlerbearbeitungs- 
Task ist dabei wahlweise fest oder auch einstellbar, je- 
doch unterhalb der Prioritatsstuf e der hochprioren zyk- 
lischen Tasks ftir z.B. eine Bewegungssteueuerung 
und/oder eine andere Regelung; 



• der Start der Fehlerbearbeitungs-Task/Fehlerreaktions- 
funktion fUhrt zu Stop und Abbruch der Task, in der en 
Anwenderprogramm der Fehler aufgetreten ist; 



10 



• nicht-zyklische Tasks konnen uber eine Programmierung in 
dem Fehlerbearbeitungs-Task/Fehlerreaktionsfunktion neu 
gestartet werden. 



Damit ist ein konsistentes System- und Ablauf verhalten auch 
15 in harten Echtzeitsystemen erreichbar. 

Durch die erf indungsgemafie Ausgestaltung eines Automat is ie- 
rungssystems sind Zugrif f sf ehler direkt in flexible parame- 
trierbare Zugrif fsfunktionen abfangbar. Reaktionen auf Zu- 

20 griffsfehler und Verarbeitungsf ehler sind auch in einer Feh- 
lerreaktionsfunktion programmierbar, wobei die Fehlerreakti- 
onsfunktion im Fehlerf all gestartet wird. Die erf indungsgema- 
fie Fehlerbehandlung ist vorteilhaf terweise verbunden mit dem 
Nichtabbruch oder der Nichtbeeinf lussung hochpriorer zykli- 

25 scher Systemtasks, wie diese z.B. bei Motion Control-Auf gaben 
auftreten. Derartige Aufgaben sind beispielsweise eine Inter- 
polation und/oder eine Regelung. 

Mit Hilfe der erf indungsgemafien Fehlerbehandlung ist ein si- 
30 cheres Systemverhalten des Automatisierungssystem auch da- 

durch erreichbar, dass der Task beendbar ist, in welchem ein 
Fehler aufgetreten ist. In vorteilhaf ter Weise sind nicht- 
zyklische Tasks neu aufsetzbar, d.h. startbar. Beim Neuauf- 
setzen nicht-zyklischer Tasks werden entweder die Startwerte 
35 des ursprunglichen Tasks verwendet oder aber Zwischenergeb- 
nisse des abgebrochenen Tasks. 
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Die erf indungsgemafie Fehlerbehandlung ist vorteilhaf terweise 
verbunden mit dem Absteuern, d.h. Herunterf ahren bzw. Stoppen 
des Systems bei Auftreten zumindest eines Fehlers in einem 
zyklischen Task, da in diesem Fall die wiederholte Abarbei- 
5 tung und/oder der Abbruch des zyklischen Tasks nicht unbe- 

dingt sinnvoll ist. In vorteilhaf ter Weise wird erf indungsge- 
mafi ein konsistentes Systemverhalten erreicht, auch dann, 
wenn das System nicht in Stop geht. 

10 In einer vorteilhaf ten Weise wird erf indungsgemafi die maximal 
zulassige Gesamtlauf zeit eines hochprioren zyklischen Tasks 
nicht iiberschritten urn eine vereinbarte Regelungs- und/oder 
Steuerungsgtite zu gewahrleisten. Dies gilt insbesondere bei 
Automatisierungssteuerungen und/oder Automatisierungssyste- 

15 men, wobei diese Begriffe gleichbedeutend benutzbar sind, mit 
harten Echtzeitanf orderungen. 

Das erf indungsgemafie Automatisierungssystem ist vorteilhaft 
bei einer Produktionsmaschine und/oder einer Werkzeugmaschine 
20 eingesetzt . 



Weitere vorteilhaf te AusfUhrungen bzw. eine Verwendung 
und/oder Vorrichtung zur Erfindung sind den Anspriichen 1 bis 
1 5 entnehmbar . 

25 

Ausfiihrungsbeispiele zur Erfindung sind in den Figuren darge- 
stellt. Dabei zeigen 

Figur 1 unterschiedliche ablaufebenen zur Ausfiihrung von 
30 Software in einem Automatisierungssystem und 

Figur 2 Fehlerreaktionsfunktionen verteilt in Ablaufebenen. 

Die Darstellung gemaii FIG 1 zeigt ftinf verschieden Ablaufebe- 
nen 1A, 2A, 3A, 4A und 5A zur Ausfiihrung von Software eines 
35 Automatisierungssystems . Eine Prioritat P - in der Figur 1 

als Pfeil dargestellt, ist von der Ablaufebene 5A bis zur Ab- 
laufebene 1A ansteigend. Abzuarbeitende Tasks T sind in den 
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Ablaufebenen 1A bis 5A als Balken dargestellt und beztlglich 
einer Zeitachse Z aufgetragen. Hoch priore Funktionen d.h. 
Tasks wie z.B. Kommunikat ions tasks KT werden in der Ablauf- 
ebene 1A ausgeftihrt. Die Kommunikationstasks KT wiederholen 
5 sich zyklisch in einem Taktzyklus TZK far die Kommunikat ion. 
In einem weiteren Taktzyklus TZI erfolgt die Abarbeitung z.B. 
fur eine Interpolation z.B, einer Werkzeugmaschine oder einer 
Produktionsmaschine. Die Funktion fur die Interpolation wird 
im Interpolations-Task ausgeftihrt, wobei die AusfUhrung in 
10 einer zur Ablaufebene 1A niederen Prioritat in der Ablaufebe- 
ne 2A erfolgt. Der Ablaufebene 3A sind Interrupt-Tasks IT zu- 
gewiesen. Anwendertasks ATI und AT 2 sind entsprechend ihrer 
Wichtigkeit den Ablaufebenen 4A und 5A zugeordnet. 

15 Die Darstellung gemafi Figur 2 zeigt beispielhaft verschiedene 
Tasks NZT, NNT, IT, HZT, HZST und FT, welche in einem Automa- 
tisierungs system ablauffahig sind. Der Begriff Task ist dabei 
z.B. im Sinne des Begriff s Funktion anwendbar, wobei die 
Funktion zumindest eine Aufgabe beinhaltet. Eine Funktion ist 

20 jedoch auch in verschiede Tasks unterteilbar . In der FIG 2 
sind die folgenden Tasks aufgefuhrt, wobei diese unter- 
schiedliche Prioritaten aufweisen: 

• niederpriorer zyklischer Task NZT 
25 • nichtzyklische Tasks NNT 

• Fehlerbearbeitungs-Task FT1, FT2, FT 3 

• Interrupt Tasks IT 

• Hochpriore zyklische Tasks HZT 

• Hochpriore zyklische System Tasks HZST. 

30 

Der Fehlerbearbeitungs-Task entspricht einer Fehlerreaktions- 
funktion. Die Tasks NZT, NNT, IT, HZT, HZST und FT sind Ab- 
laufebenen A zugewiesen, wobei die Ablaufebenen A unter- 
schiedliche Prioritaten P beztlglich der Bearbeitung aufweisen 
35 und in die Ablaufebenen 1A, 2A, 3A und 4A unterteilt sind. 

Die Prioritat P, welche als nach unten weisender Pfeil darge- 
stellt ist, nimmt in Pf eilrichtung zu. Die Tasks werden durch 
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rechteckige Kastchen reprasentiert, wobei jedem Kastchen zu- 
mindest eine Task zugeordnet ist. Die zeitliche Aufeinander- 
folge der Tasks NZT, NNT, IT, HZT, HZST und FT1/2/3 erfolgt 
durch die perspektivische Darstellung in Bezug auf eine als 
Pfeil dargestellte Zeitachse Z, 

Die Fehlerbearbeitungstasks FT1, FT2, FT 3 sind der Priori tat 
nach, verschiedenen Ablaufebenen 1A und 2A zugeordnet. In den 
entsprechenden Ablaufebenen A finden sich auch die Interrupt 
Tasks IT und/oder die niederprioren zyklischen Tasks NZT 
und/oder die niederprioren nichtzyklischen Tasks NNT nebenge- 
stellt. 

Bei den folgenden Tasks: niederpriorer zyklischer Task NZT 
niederpriorer nichtzyklischer Task NNT, interrupt Task IT, 
hochpriorer zyklischer Task HZT und dem Fehlerbearbei- 
tungstask konnen Zugrif f sfunktionen in alien Anwendertasks 
verwendet werden. 

Tritt beispielsweise ein Fehler F in der Ablaufebene 2A des 
Interrupt Tasks IT auf, so ist eine Fehlerbearbeitungstask 
FT1 in derselben Ablaufebene 2A startbar. Durch den Fehler 
kann jedoch auch eine Fehlerbearbeitungstask FT 2 bzw. FT 3 in 
einer niederpriorenren Ablaufebene 1A gestartet werden. Das 
Starten einer niederprioreren Fehlerbearbeitungtask FT2, FT 3 
kann auch durch eine andere Fehlerbearbeitungstask FT1 erfol- 
gen. Die Ausfuhrung von Fehlerbearbeitungstasks FTl, FT2, 
d.h. von Fehlerreaktionsfunktionen in einer niederprioreren 
Ablaufebene spart Rechenzeit eines Rechners fur hoherpriore 
Tasks. Damit ist ein Echtzeit-Automatisierungssystem reali- 
sierbar. Dieses gentigt auch harten Echtzeitanf orderungen in- 
besondere im Fehlerfall. 
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Patent ansprtiche 

1. Verfahren zur Fehlerbehandlung bei einem Echtzeit-Automa- 
tisierungssystem bei dem durch zumindest einen Verarbeitungs- 
5 fehler (F) und/oder Zugrif f sf ehler (F) zumindest eine Fehler- 
reaktionsfunktionsfunktion (FTl, FT2, FT3) ausgelost wird, 
wobei die Fehlerreaktionsfunktion (FTl, FT2, FT3) paramet- 
rierbar und/oder programmierbar ist. 

10 2. Verfahren zur Fehlerbehandlung bei einem Automatisie- 

rungs system, welches zumindest zwei Ablaufebenen (a, 1A, 2A, 
3A, 4A, 5A) aufweist, bei dem durch zumindest einen Verarbei- 
tungsfehler (F) und/oder Zugrif fsf ehler (F) in einer Ablauf- 
ebene (A) zumindest eine Fehlerreaktionsfunktion (FTl, FT2, 

15 FT3) in zumindest einer der weiteren Ablaufebenen (A) ausge- 
lost wird. 

3. Verfahren nach Anspruch 2, dadurch gekenn- 
zeichnet, dass die Fehlerreaktionsfunktion (FTl, 
20 FT2, FT3) jeweils in der weiteren Ablaufebene (A) behandelt 
wird, welche niederpriorer zu der jeweiligen Ablaufebene (A) 
ist, in welcher der Verarbeitungsf ehler (F) und/oder der 
Zugrif fsf ehler (F) aufgetreten ist, 

25 4. Verfahren nach Anspruch 2 oder 3, dadurch ge- 
kennzeichnet, dass durch den Verarbeitungsf eh- 
ler (F) und/oder den Zugrif fsf ehler (F) eine Fehlerreaktions- 
funktion (FTl, FT2, FT3) in derselben Ablaufebene (A) wie der 
Verarbeitungsfehler (F) und/oder Zugrif fsf ehler (F) ausgelost 

30 wird und dass eine weitere Fehlerreaktionsfunktion (FTl, FT2, 
FT3) in zumindest einer niederprioreren Ablaufebene (A) aus- 
gelost wird. 

5. Verfahren nach einem der Ansprtiche 2 bis 4, 
35 dadurch gekennzeichnet, dass als Au- 
tomatisierungssystem ein Echtzeit-Automatisierungssystem ver- 
wendet wird. 
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6. Verfahren nach Anspruch 2 oder 5, dadurch 
gekennzeichnet, dass die Fehlerreaktionsfunk- 
tion (FT1, FT2, FT3) vor dem Auslosen parametriert und/oder 
programmiert wird. 

7. Verfahren nach einem der Anspriiche 1 bis 6, 
dadurch gekennzeichnet, dass Zu- 
griffsfehler (F) mit Hilfe von parametrierbaren Zugrif f sfunk- 
tionen (FT1, FT2, FT3) abgefangen werden. 

8. Verfahren nach einem der Anspriiche 1 bis 7, 
dadurch gekennzeichnet, dass zumin- 
dest hochpriore zyklische Systemf unktionen (HZST) durch die 
Fehlerreaktionsfunktion (FT1, FT2, FT3) unbeeinf lusst ausge- 
fuhrt werden. 

9. Verfahren nach einem der vorgenannten Anspriiche 1 bis 8, 
dadurch gekennzeichnet, dass zumin- 
dest hochpriore zyklische Systemf unktionen (HZST) auch bei 
Ausftihrung einer Fehlerreaktionsfunktion (FT1, FT2, FT3) 
abbruchslos weitergefuhrt werden. 

10. Verfahren nach einem der vorgenannten Anspriiche 1 bis 9, 
dadurch gekennzeichnet, dass Funktio 
nen, welche eine Fehlfunktion (F) aufweisen, abgebrochen wer 
den, wodurch ein sicheres Verhalten des Automatisierungssys- 
tems gewahrleistet ist. 

11. Verfahren nach einem der vorgenannten Anspriiche 1 bis 10 
dadurch gekennzeichnet, dass abgebro 
chene nichtzyklische Funktionen (NNT) neu gestartet werden, 
wobei dabei auf die jeweils vorangegangene abgebrochene Funk 
tion (NNT) aufgesetzt wird. 
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12. Verfahren nach einem der vorgenannten Ansprttche 1 bis 10, 
dadurch gekennzeichnet, dass bei Feh- 
lem (F) in zyklischen Funktionen (NZT, HZT) das Automatisie- 
rungssystem gestoppt wird. 



13. Verfahren nach einem der vorgenannten AnsprUche 1 bis 11, 
dadurch gekennzeichnet, dass beim 
Auftreten von Fehlern (F) durch das Automat isierungssys tern 
ein konsistentes Systemverhalten erzeugt wird ohne das Auto- 

10 matisierungssystem zu stoppen. 

14. Verwendung des Verfahrens nach einem der vorgenannten An- 
spruche, dadurch gekennzeichnet, 
dass die Verwendung bei einer Werkzeugmaschine und/oder einer 

15 Produktionsmaschine erfolgt. 

15. Vorrichtung zur Durchfuhrung des Verfahrens nach einem 
der vorgenannten AnsprUche, dadurch gekenn- 
zeichnet, dass die Vorrichtung ein Automatisie- 

20 rungssystem ist. 
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(57) Zusammenfassung: Die Erfindung betrifft ein Automatisierungssystem, bei welchem die Reaktion auf Fehler (F) verbessert 
ist. Dies gelingt zum einen mit einem Verfahren zur Fehlerbehandlung bei einem Echtzeit- Automatisierungssystem bei dem durch 
zumindest einen Verarbeitungsfehler (F) und/oder Zugriffsfehler (F) zumindest eine Fehlerreaktionsfunktionsfunktion (FT1, FT2, 
FT3) ausgelost wird, wobei die Fehlerreaktionsfunktion (FT I, FT2, FT3) parametrierbar und/oder programmierbar ist. Zum anderen 
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